연방 검찰은 구글을 비롯한 여러 기업에서 민감한 칩 보안 관련 영업 비밀을 훔쳐 이란 등 허가받지 않은 곳으로 유출한 혐의로 실리콘 밸리 엔지니어 3명을 체포해 국가 안보에 대한 우려를 제기하고 있다.
미국 캘리포니아 북부 지방법원의 연방 대배심은 사마네 간달리, 소루르 간달리, 모하마드자바드 코스로비에 대한 기소장을 제출했습니다. 법무부 발표 에 따르면, 기소장은 수요일에 제출되었고 목요일에 샌호세에서 공개되었습니다.
미 법무부에 따르면 사마네 간다리는 구글 재직 당시 구글의 영업 비밀을 포함한 수백 개의 파일을 제3자 통신 플랫폼으로 전송했으며, 해당 채널들은 피고인 각자의 이름으로 되어 있었다고 합니다.
기사 작성 시점 현재, 공개된 기소장 사본은 즉시 입수할 수 없었습니다. 디크립트는 관련 법무부 부서에 추가 정보 및 논평을 요청했습니다.
이들 세 명은 구글과 다른 두 곳의 회사(이름은 공개되지 않음)에서의 직위를 이용해 모바일 컴퓨터 프로세서와 관련된 기밀 파일에 접근한 혐의를 받고 있습니다. 법무부에 따르면, 도난당한 자료에는 프로세서 보안 및 암호화와 관련된 영업 비밀이 포함되어 있으며, 구글 자료는 이후 피고인들이 근무했던 다른 회사들의 업무용 기기와 개인 기기에 복사되었습니다.
검찰은 피고인들이 파일을 삭제하고, 전자 기록을 파기하고, 회사 기밀 정보를 외부로 유출하지 않았다는 내용의 허위 진술서를 피해 기업에 제출하는 등 자신들의 행위를 은폐하려 했다고 주장합니다.
기소장에 명시된 한 사건에서 미 법무부는 사마네 간달리가 2023년 12월 이란으로 출국하기 전날 밤 다른 회사의 업무용 컴퓨터 화면에 표시된 영업 비밀 정보 약 24장을 촬영했다고 주장합니다.
이란에 있는 동안 그녀와 관련된 기기가 해당 사진들에 접근한 것으로 알려졌으며, 코스로비는 추가적인 영업 비밀 자료에도 접근한 것으로 전해졌습니다.
미국 법무부에 따르면, 구글의 내부 보안 시스템은 2023년 8월에 의심스러운 활동을 감지하고 사마네 간다리의 접근 권한을 취소했습니다. 기소장에 따르면 그녀는 이후 구글의 기밀 정보를 회사 외부로 유출하지 않았다는 내용의 진술서에 서명했습니다.
피고인 세 명 모두 연방법상 공모 및 영업비밀 절도 혐의와, 공무 수행을 방해하기 위해 기록이나 기타 물건을 부정하게 변경, 파괴 또는 은폐하는 행위를 범죄로 규정하는 법령 에 따른 사법 방해 혐의로 기소되었습니다.
공무집행방해 혐의는 법정 최고형으로 징역 20년형에 처해질 수 있습니다.
관찰자들은 이 사건이 첨단 반도체 및 암호화 시스템에 대한 내부자 접근이 국가 안보에 얼마나 큰 영향을 미칠 수 있는지를 보여주는 사례라고 말합니다.
크로노스 리서치의 최고 투자 책임자인 빈센트 리우는 디크립트와의 인터뷰에서 "정당한 접근 권한을 가진 직원은 기존 통제 시스템이 있더라도 시간이 지남에 따라 매우 민감한 지적 재산을 조용히 빼낼 수 있다"고 말했습니다.
그는 반도체 및 암호화 기업에 대한 위험은 해커가 아닌 "신뢰할 수 있는 내부자"로부터 오는 경우가 많다고 덧붙이며, 내부자 위험을 "지속적인 모니터링과 엄격한 데이터 분리가 필요한 구조적 취약점"이라고 설명했습니다.
암호화 인프라 개발업체인 Horizontal Systems의 전략 책임자 댄 다디바요는 디크립트와의 인터뷰 에서 "이러한 경우 '내부자가 공격 표면'이 된다"고 말했습니다. 그는 "정당한 접근을 통해 데이터가 유출될 때는 방화벽이 무의미하다"며, 엔지니어들이 "아키텍처, 키 관리 로직 또는 하드웨어 보안 설계를 통제된 환경 밖으로 옮길 수 있다면 '경계'가 무너진다"고 주장했습니다.
다디바요는 민감한 프로세서 및 암호화 관련 지적 재산권이 이란에 유입될 경우 규제 당국이 강력하게 대응할 가능성이 높다고 말했다.
그는 "지식 접근 자체가 수출로 간주되는 간주 수출 규정의 강화된 시행"과 "미국 기업 내부의 더욱 엄격한 분할, 모니터링 및 허가 요건"을 지적하며, 첨단 칩과 암호화 기술은 "더 이상 중립적인 상업 상품으로 취급되지 않고 지정학적 권력의 도구"가 되었다고 덧붙였다.
이 사례는 형식적인 규정 준수와 현실적인 회복력 사이의 격차를 드러냅니다.
암호화 보안 및 규정 준수 회사인 Hacken의 회장인 Dyma Budorin은 Decrypt와의 인터뷰에서 "대부분의 기술 조직에서는 SOC 2 및 ISO 인증을 획득함으로써 정보 도난 위험이 완화되었다고 생각합니다."라고 말했습니다.
그러한 프레임워크는 "종종 규정 준수 성숙도를 측정할 뿐, 특히 내부자처럼 작정하고 공격하려는 자에 대한 실제적인 회복력을 측정하는 것은 아닙니다."
그는 인증은 "감사 시점에" 통제 시스템이 존재한다는 것을 증명하는 것이지만, "민감한 데이터가 도난당할 수 없다는 것을 증명하는 것은 아니다"라고 말했다.
부도린은 이러한 기준들이 공통적인 안전장치를 규정하고 있기 때문에 방어 전략을 예측 가능하게 만들 수 있다고 주장했다.
그는 정교한 공격자에게 있어 "규정 준수"는 종종 예측 가능성을 의미한다고 덧붙이며, 진정한 보안을 위해서는 "지속적인 검증, 행동 모니터링 및 적대적 테스트"가 필요하다고 경고했습니다. 그렇지 않으면 조직은 "서류상으로는 규정을 준수하지만 실제로는 심각하게 취약해질 위험"에 처하게 됩니다.
